Burpsuit常用插件推荐

0x00 
前言
我们在测试的时候最常用的基本上是burp了,今天在这里汇总了一些burp上的插件,可以让我们在测试的过程中更加的得心应手~
 
0x01
j2eescan
J2EEScan是一个基于Web安全扫描套件Burp Suite Proxy的插件, 增加了针对J2EE应用的安全扫描测试项目。它增加了一些新的测试用例和新策略去发现不同的J2EE安全漏洞。
在这里找到直接安装就行了。

1.png

下面我们以我自己的留言板登录页面为例
演示一下使用方法。

2.png

 
在scanner里边找到数据包双击,然后会发现可能存在的问题。
 
3.png

另外也能看到一些服务器的信息。

4.png


0x02
BypassWAF
我们在渗透测试有时遇到WAF(应用层防火墙),这往往令人头疼。Burp Suite是响当当的web应用程序渗透测试集成平台,而这款插件可以帮助你绕过某些WAF。

5.png

 
 
0x03
CSRF Scanner

6.png

 
也就是可以自动化检测csrf的工具
 

7.png

 
0x04
 CO2
也就是能快捷启动sqlmap,当然可以设置各种payload。

8.png

还可以指定注入方式等。

9.png


10.png

 
0x05
xssValidator
同样的方法安装完之后。
跟爆破的方法一样
发送到intruder
设置关键词为123456

11.png

其他按下图设置

12.png


13.png

然后直接跑即可

01.png

因为我的留言板没加过滤,所以这些xss代码都能成功,我们判断这的依据也是后边的长度。
 
0x06
参考文章链接
https://blog.csdn.net/a15803617402/article/details/84880219
https://www.freebuf.com/sectool/158005.html
 
 
 

 
 
 
 
 

1 个评论

可以

要回复文章请先登录注册